標籤:android 漏洞 安全
Android應用會遇到各種各樣的漏洞,如何從細節上瞭解各種安全隱患,積極採取適當的防禦措施便變得尤為重要。為了讓大家對Android漏洞有一個非常全面的認識,網易雲易盾資深安全工程師徐從祥為大家詳細解讀常見九大的Android漏洞,供各位學習參考。(如果下面乾貨內容沒有讓各位盡興,歡迎來官網申請相關產品試用,面對面交流,保證解決你的安全難題。
?
第一大類:AndroidManifest配置相關的風險或漏洞
程式可被任意調試
風險詳情:安卓應用apk設定檔Android Manifest.xml中android:debuggable=true,調試開關被開啟。
危害情況:app可以被調試。
修複建議:把AndroidManifest.xml設定檔中調試開關屬性關掉,即設定android:Debugable="false"。
程式資料任意備份
風險詳情:安卓應用apk設定檔AndroidManifest.xml中android:allowBackup=true,資料備份開關被開啟。
危害情況:app應用資料可被備份匯出。
修複建議:把AndroidManifest.xml設定檔備份開關關掉,即設定android:allowBackup="false"。
組件暴露:建議使用android:protectionLevel="signature"驗證調用來源。
Activity組件暴露
?
風險詳情:Activity組件的屬性exported被設定為true或是未設定exported值但IntentFilter不為空白時,activity被認為是匯出的,可通過設定相應的Intent喚起activity。
危害情況:駭客可能構造惡意資料針對匯出activity組件實施越權攻擊。
修複建議:如果組件不需要與其他app共用資料或互動,請將AndroidManifest.xml 設定檔中設定該組件為exported = “False”。如果組件需要與其他app共用資料或互動,請對組件進行許可權控制和參數校正。
Service組件暴露
風險詳情:Service組件的屬性exported被設定為true或是未設定exported值但IntentFilter不為空白時,Service被認為是匯出的,可通過設定相應的Intent喚起Service。
危害情況:駭客可能構造惡意資料針對匯出Service組件實施越權攻擊。
修複建議:如果組件不需要與其他app共用資料或互動,請將AndroidManifest.xml 設定檔中設定該組件為exported = “False”。如果組件需要與其他app共用資料或互動,請對組件進行許可權控制和參數校正。
ContentProvider組件暴露
?
風險詳情:ContentProvider組件的屬性exported被設定為true或是Android API<=16時,Content Provider被認為是匯出的。
危害情況:駭客可能訪問到應用本身不想共用的資料或檔案。
修複建議:如果組件不需要與其他app共用資料或互動,請將AndroidManifest.xml 設定檔中設定該組件為exported = “False”。如果組件需要與其他app共用資料或互動,請對組件進行許可權控制和參數校正。
BroadcastReceiver組件暴露
風險詳情:BroadcastReceiver組件的屬性exported被設定為true或是未設定exported值但IntentFilter不為空白時,BroadcastReceiver被認為是匯出的。
危害情況:匯出的廣播可以導致資料泄漏或者是越權。
修複建議:如果組件不需要與其他app共用資料或互動,請將AndroidManifest.xml 設定檔中設定該組件為exported = “False”。如果組件需要與其他app共用資料或互動,請對組件進行許可權控制和參數校正。
?
Intent SchemeURLs攻擊
風險詳情:在AndroidManifast.xml設定Scheme協議之後,可以通過瀏覽器開啟對應的Activity。
危害情況:攻擊者通過訪問瀏覽器構造Intent文法喚起app相應組件,輕則引起拒絕服務,重則可能演變對app進行越權調用甚至升級為提權漏洞。
修複建議:app對外部調用過程和傳輸資料進行安全檢查或檢驗,配置category filter, 添加android.intent.category.BROWSABLE方式規避風險
第二大類:WebView組件及與伺服器通訊相關的風險或漏洞
Webview存在本地Java介面
風險詳情:android的webView組件有一個非常特殊的介面函數addJavascriptInterface,能實現本地java與js之間互動。
危害情況:在targetSdkVersion小於17時,攻擊者利用 addJavascriptInterface這個介面添加的函數,可以遠程執行任意代碼。
修複建議:建議開發人員不要使用addJavascriptInterface,使用注入javascript和第三方協議的替代方案。
Webview組件遠程代碼執行(調用getClassLoader)
風險詳情:使用低於17的targetSDKVersion,並且在Context子類中使用addJavascriptInterface綁定this對象。
危害情況:通過調用getClassLoader可以繞過google底層對getClass方法的限制。
修複建議:targetSDKVersion使用大於17的版本。
?
WebView忽略SSL認證錯誤
風險詳情:WebView調用onReceivedSslError方法時,直接執行handler.proceed()來忽略該認證錯誤。
危害情況:忽略SSL認證錯誤可能引起中間人攻擊。
修複建議:不要重寫onReceivedSslError方法,或者對於SSL認證錯誤問題按照業務情境判斷,避免造成資料明文傳輸情況。
webview啟用訪問檔案資料
風險詳情:Webview中使用setAllowFileAccess(true),App可通過webview訪問私人目錄下的檔案資料。
危害情況:在Android中,mWebView.setAllowFileAccess(true)為預設設定。當setAllowFileAccess(true)時,在File域下,可執行任意的JavaScript代碼,如果繞過同源策略能夠對私人目錄檔案進行訪問,導致使用者隱私泄漏。
修複建議:使用WebView.getSettings().setAllowFileAccess(false)來禁止訪問私人檔案資料。
?
SSL通訊服務端檢測信任任意認證
風險詳情:自訂SSLx509 TrustManager,重寫checkServerTrusted方法,方法內不做任何服務端的認證校正。
危害情況:駭客可以使用中間人攻擊擷取加密內容。
修複建議:嚴格判斷服務端和用戶端認證校正,對於例外狀況事件禁止return 空或者null。
HTTPS關閉主機名稱驗證
風險詳情:構造HttpClient時,設定HostnameVerifier時參數使用ALLOW_ALL_HOSTNAME_VERIFIER或空的HostnameVerifier。
危害情況:關閉主機名稱校正可以導致駭客使用中間人攻擊擷取加密內容。
修複建議:APP在使用SSL時沒有對認證的主機名稱進行校正,信任任意主機名稱下的合法的認證,導致加密通訊可被還原成明文通訊,加密傳輸遭到破壞。
?
SSL通訊用戶端檢測信任任意認證
風險詳情:自訂SSLx509 TrustManager,重寫checkClientTrusted方法,方法內不做任何服務端的認證校正。
危害情況:駭客可以使用中間人攻擊擷取加密內容。
修複建議:嚴格判斷服務端和用戶端認證校正,對於例外狀況事件禁止return 空或者null。
開放socket連接埠
風險詳情:app綁定連接埠進行監聽,建立串連後可接收外部發送的資料。
危害情況:攻擊者可構造惡意資料對連接埠進行測試,對於綁定了IP 0.0.0.0的app可發起遠程攻擊。
修複建議:如無必要,只綁定本地ip127.0.0.1,並且對接收的資料進行過濾、驗證。
第三大類:資料安全風險
資料儲存:
SD卡資料被第三方程式訪問
漏洞描述:發現調用getExternalStorageDirectory,儲存內容到SD卡可以被任意程式訪問,存在安全隱患。
安全建議:建議儲存敏感資訊到程式私人目錄,並對敏感性資料加密。
全域File可讀寫漏洞-openFileOutput
風險詳情:openFileOutput(Stringname,int mode)方法建立內部檔案時,將檔案設定了全域的可讀許可權MODE_WORLD_READABLE。
危害情況:攻擊者惡意讀取檔案內容,擷取敏感資訊。
修複建議:請開發人員確認該檔案是否儲存敏感性資料,如存在相關資料,請去掉檔案全域可讀屬性。
通用檔案可寫
?
風險詳情:openFileOutput(Stringname,int mode)方法建立內部檔案時,將檔案設定了全域的可寫入權限MODE_WORLD_WRITEABLE。
危害情況:攻擊者惡意寫檔案內容破壞APP的完整性。
修複建議:請開發人員確認該檔案是否儲存敏感性資料,如存在相關資料,請去掉檔案全域可寫屬性。
通用檔案可讀可寫
風險詳情:openFileOutput(Stringname,int mode)方法建立內部檔案時,將檔案設定了全域的可讀寫權限。
危害情況:攻擊者惡意寫檔案內容或者,破壞APP的完整性,或者是攻擊者惡意讀取檔案內容,擷取敏感資訊。
修複建議:請開發人員確認該檔案是否儲存敏感性資料,如存在相關資料,請去掉檔案全域可寫、寫屬性。
私人檔案泄露風險-getSharedPreferences:
設定檔可讀
風險詳情:使用getSharedPreferences開啟檔案時第二個參數設定為MODE_WORLD_READABLE。
危害情況:檔案可以被其他應用讀取導致資訊洩漏。
修複建議:如果必須設定為全域可讀模式供其他程式使用,請保證儲存的資料非隱私資料或是加密後儲存。
設定檔可寫
風險詳情:使用getSharedPreferences開啟檔案時第二個參數設定為MODE_WORLD_WRITEABLE。
危害情況:檔案可以被其他應用寫入導致檔案內容被篡改,可能導致影響應用程式的正常運行或更嚴重的問題。
修複建議:使用getSharedPreferences時第二個參數設定為MODE_PRIVATE即可。
設定檔可讀可寫
風險詳情:使用getSharedPreferences開啟檔案時,如將第二個參數設定為MODE_WORLD_READABLE 或 MODE_WORLD_WRITEABLE。
危害情況:當前檔案可以被其他應用讀取和寫入,導致資訊洩漏、檔案內容被篡改,影響應用程式的正常運行或更嚴重的問題。
修複建議:使用getSharedPreferences時第二個參數設定為MODE_PRIVATE。禁止使用MODE_WORLD_READABLE |MODE_WORLD_WRITEABLE模式。
資料加密:
明文數位憑證漏洞
Apk使用的數位憑證可被用來校正伺服器的合法身份,以及在與伺服器進行通訊的過程中對傳輸資料進行加密、解密運算,保證傳輸資料的保密性、完整性。
明文儲存的數位憑證如果被篡改,用戶端可能串連到假冒的服務端上,導致使用者名稱、密碼等資訊被竊取;如果明文認證被盜取,可能造成傳輸資料被截獲解密,使用者資訊泄露,或者偽造用戶端向伺服器發送請求,篡改伺服器中的使用者資料或造成伺服器響應異常。
AES弱加密
風險詳情:在AES加密時,使用了“AES/ECB/NoPadding”或“AES/ECB/PKCS5padding”的模式。
危害情況:ECB是將檔案分塊後對檔案塊做同一加密,破解加密只需要針對一個檔案塊進行解密,降低了破解難度和檔案安全性。
修複建議:禁止使用AES加密的ECB模式,顯式指定密碼編譯演算法為:CBC或CFB模式,可帶上PKCS5Padding填充。AES密鑰長度最少是128位,推薦使用256位。
?
隨機數不安全使用
風險詳情:調用SecureRandom類中的setSeed方法。
危害情況:產生的隨機數具有確定性,存在被破解的可能性。
修複建議:用/dev/urandom或/dev/random來初始化偽隨機數產生器。
AES/DES寫入程式碼密鑰
風險詳情:使用AES或DES加解密時,密鑰採用寫入程式碼在程式中。
危害情況:通過反編譯擷取密鑰可以輕易解密APP通訊資料。
修複建議:祕密金鑰加密儲存或變形後進行加解密運算,不要寫入程式碼到代碼中。
資料轉送:與上面的重複了,也可以把webview系列的漏洞歸入這一小類。
第四大類:檔案目錄遍曆類漏洞
Provider檔案目錄遍曆
風險詳情:當Provider被匯出且覆寫了openFile方法時,沒有對Content Query Uri進行有效判斷或過濾。
危害情況:攻擊者可以利用openFile()介面進行檔案目錄遍曆以達到訪問任意可讀檔案的目的。
修複建議:一般情況下無需覆寫openFile方法,如果必要,對提交的參數進行“../”目錄跳轉符或其他安全校正。
unzip解壓縮漏洞
風險詳情:解壓 zip檔案,使用getName()擷取壓縮檔名後未對名稱進行校正。
危害情況:攻擊者可構造惡意zip檔案,被解壓的檔案將會進行目錄跳轉被解壓到其他目錄,覆蓋相應檔案導致任意代碼執行。
修複建議:解壓檔案時,判斷檔案名稱是否有../特殊字元。
第五大類:檔案格式解析類漏洞
?
FFmpeg檔案讀取
風險詳情:使用了低版本的FFmpeg庫進行視頻解碼。
危害情況:在FFmpeg的某些版本中可能存在本地檔案讀取漏洞,可以通過構造惡意檔案擷取本地檔案內容。
修複建議:升級FFmpeg庫到最新版。
安卓“Janus”漏洞
漏洞詳情:向原始的AppAPK的前部添加一個攻擊的classes.dex檔案(A檔案),安卓系統在校正時計算了A檔案的hash值,並以”classes.dex”字串做為key儲存, 然後安卓計算原始的classes.dex檔案(B),並再次以”classes.dex”字串做為key儲存,這次儲存會覆蓋掉A檔案的hash值,導致Android系統認為APK沒有被修改,完成安裝,APK程式運行時,系統優先以先找到的A檔案執行,忽略了B,導致漏洞的產生。
危害情況:該漏洞可以讓攻擊者繞過安卓系統的signature scheme V1簽名機制,進而直接對App進行篡改。而且由於安卓系統的其他安全機制也是建立在簽名和校正基礎之上,該漏洞相當於繞過了安卓系統的整個安全機制。
修複建議:禁止安裝有多個同名ZipEntry的APK檔案。
?
第六大類:記憶體堆棧類漏洞
未使用編譯器堆棧保護技術
風險詳情:為了檢測棧中的溢出,引入了Stack Canaries漏洞緩解技術。在所有函數調用發生時,向棧幀內壓入一個額外的被稱作canary的隨機數,當棧中發生溢出時,canary將被首先覆蓋,之後才是EBP和返回地址。在函數返回之前,系統將執行一個額外的安全驗證操作,將棧幀中原先存放的canary和.data中副本的值進行比較,如果兩者不吻合,說明發生了棧溢出。
危害情況:不使用StackCanaries棧保護技術,發生棧溢出時系統並不會對程式進行保護。
修複建議:使用NDK編譯so時,在Android.mk檔案中添加:LOCAL_CFLAGS := -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all
未使用地址空間隨機化技術
風險詳情:PIE全稱Position Independent Executables,是一種地址空間隨機化技術。當so被載入時,在記憶體裡的地址是隨機分配的。
危害情況:不使用PIE,將會使得shellcode的執行難度降低,攻擊成功率增加。
修複建議:NDK編譯so時,加入LOCAL_CFLAGS := -fpie -pie開啟對PIE的支援。
libupnp棧溢出漏洞
風險詳情:使用了低於1.6.18版本的libupnp庫檔案。
危害情況:構造惡意資料包可造成緩衝區溢位,造成代碼執行。
修複建議:升級libupnp庫到1.6.18版本或以上。
第七大類:動態類漏洞
DEX檔案動態載入
風險詳情:使用DexClassLoader載入外部的 apk、jar 或 dex檔案,當外部檔案的來源無法控制時或是被篡改,此時無法保證載入的檔案是否安全。
危害情況:載入惡意的dex檔案將會導致任意命令的執行。
修複建議:載入外部檔案前,必須使用校正簽名或MD5等方式確認外部檔案的安全性。
動態註冊廣播
風險詳情:使用registerReceiver動態註冊的廣播在組件的生命週期裡是預設匯出的。
危害情況:匯出的廣播可以導致拒絕服務、資料泄漏或是越權調用。
修複建議:使用帶許可權檢驗的registerReceiver API進行動態廣播的註冊。
第八大類:校正或限定不嚴導致的風險或漏洞
Fragment注入
風險詳情:通過匯出的PreferenceActivity的子類,沒有正確處理Intent的extra值。
危害情況:攻擊者可繞過限制訪問未授權的介面。
修複建議:當targetSdk大於等於19時,強制實現了isValidFragment方法;小於19時,在PreferenceActivity的子類中都要加入isValidFragment ,兩種情況下在isValidFragment方法中進行fragment名的合法性校正。
隱式意圖調用
風險詳情:封裝Intent時採用隱式設定,只設定action,未限定具體的接收對象,導致Intent可被其他應用擷取並讀取其中資料。
危害情況:Intent隱式調用發送的意圖可被第三方劫持,導致內部隱私資料泄露。
修複建議:可將隱式調用改為顯式調用。
第九大類:命令列調用類相關的風險或漏洞
動態連結程式庫中包含執行命令函數
風險詳情:在native程式中,有時需要執行系統命令,在接收外部傳入的參數執行命令時沒有做過濾或檢驗。
危害情況:攻擊者傳入任意命令,導致惡意命令的執行。
修複建議:對傳入的參數進行嚴格的過濾。
避免踩坑:易盾安全老司機起底Android九大漏洞,附解決建議